Incidentes Asociados
Casi medio millón de pacientes del sistema de salud sin fines de lucro Catholic Health, con sede en Nueva York, podrían haber visto expuesta su información personal y médica debido a una fuga de datos. Según Serviceaide, proveedor de soluciones de gestión empresarial, una base de datos Elasticsearch de Catholic Health se hizo pública inadvertidamente, lo que podría comprometer datos confidenciales de los pacientes.
La empresa informó al Departamento de Salud y Servicios Humanos (HHS).
Si bien Serviceaide no encontró evidencia de que la información fuera exfiltrada, no puede descartarla definitivamente.
Si bien no tenemos indicios de robo de identidad ni fraude en relación con este incidente, la revisión determinó que la información potencial presente en los datos afectados podría incluir nombre, número de Seguro Social, fecha de nacimiento, número de historial médico, número de cuenta del paciente, información médica/de salud, información del seguro médico, información sobre recetas y tratamientos, información clínica, nombre del proveedor, ubicación del proveedor y correo electrónico/nombre de usuario y contraseña. El tipo específico de información en cuestión varía según la persona», se lee en el comunicado de la compañía.
La compañía agregó que está enviando una notificación a las personas cuya información se determinó que estaba contenida en los datos potencialmente afectados y para quienes tiene una dirección postal válida. «Si una persona no recibe una carta, pero desea saber si se ha visto afectada, puede llamar a nuestra línea de asistencia especializada». Además, Serviceaid aconsejó a sus clientes: "Si cree que este incidente puede haber afectado a su información personal, Serviceaide le anima a mantenerse alerta ante incidentes de robo de identidad revisando sus extractos de cuenta y supervisando sus informes de crédito gratuitos para detectar actividad inusual y errores".
También puede contactar con las tres principales agencias de informes crediticios para obtener asesoramiento sobre cómo obtener informes de crédito gratuitos, así como sobre cómo activar alertas de fraude y congelar los archivos de crédito.
Riesgos prolongados
"El gran volumen de datos personales y sanitarios sensibles expuestos en la filtración de Serviceaide pone de relieve la necesidad crítica y continua de contar con medidas de ciberseguridad robustas en todo el sector sanitario", comenta Darren Guccione, director ejecutivo y cofundador de Keeper Security. Determinar el verdadero impacto de una filtración de esta magnitud suele llevar meses o incluso años, ya que las organizaciones deben descubrir el alcance total de la exposición de datos, verificar la precisión de los informes de filtración y adaptarse a los cambiantes requisitos regulatorios.
Los datos expuestos de Catholic Health siguen siendo una amenaza significativa, afirma Guccione. "Con la información personal, médica y financiera comprometida, el riesgo de robo de identidad, fraude médico y ataques de phishing dirigidos es alto. Si bien puede que no haya indicios inmediatos de uso indebido, los datos robados podrían salir a la luz en el futuro, prolongando los riesgos tanto para las personas como para las organizaciones. Existen medidas proactivas que las víctimas pueden tomar para mitigar el daño causado por la exposición de la Información Personal Identificable (PII), como cambiar las credenciales de inicio de sesión de las cuentas y aplicaciones en línea, utilizar un servicio de monitoreo de la web oscura para verificar si hay credenciales filtradas, monitorear o congelar sus agencias de crédito y practicar una ciberseguridad constante".
Los líderes del sector salud deben adoptar una postura proactiva para combatir las ciberamenazas, asignando recursos específicos y un presupuesto sólido a la ciberseguridad, ya que es un componente fundamental de la seguridad del paciente, añade Guccione. La alineación con los marcos gubernamentales e industriales, como los de CISA, NIST e HIPAA, es fundamental para garantizar prácticas de seguridad sólidas.
Adopte la Confianza Cero
Agnidipta Sarkar, Vicepresidente de Asesoría de CISO en ColorTokens, afirma que la brecha se debió a una configuración incorrecta de la referencia directa a objetos (IDOR), lo que permitió un posible acceso no autorizado a datos confidenciales sin evidencia de copia. "Esto podría afectar a las personas que reciben atención médica en las 75 ubicaciones de Catholic Health en el oeste de Nueva York, lo que aumenta los riesgos de robo de identidad, fraude financiero y fraude médico, debido a la posible pérdida de información personal y de salud altamente confidencial".
Hay muchas lecciones que aprender para los equipos de ciberseguridad, pero su implementación es compleja, añade Sarkar. "Esto incluye la prevención de riesgos de configuración incorrecta, la detección tardía, los riesgos de proveedores externos, la exposición de datos confidenciales y las implicaciones regulatorias. Como mínimo, los equipos de seguridad sanitaria deben resolver las vulnerabilidades de IDOR, auditar las configuraciones, mejorar la gobernanza de cambios e implementar el acceso con privilegios mínimos sin contraseña". Estos controles requieren disciplina y correlación entre los equipos, así como inversión y supervisión de herramientas de ciberseguridad, afirma Sarkar. "La vía más sencilla es adoptar mecanismos de Confianza Cero, como la gobernanza de identidad mejorada, la microsegmentación y el perímetro definido por software, lo que refuerza la prevención de fugas de datos".
Asumir que una filtración es inevitable
Los ataques recientes ponen de relieve la necesidad crucial de que los CISO operen con la mentalidad de "asumir que la filtración es inevitable", comenta Haviv Rosh, director de tecnología de Pathlock. "La pregunta no es si logran entrar, sino qué sucederá después. En concreto, los responsables de seguridad deberían incorporar una estrategia basada en varios elementos clave".
En primer lugar, Rosh recomienda identificar los activos clave: los sistemas y los datos que impulsan los ingresos, la confianza o las operaciones. En segundo lugar, segmentar y aislar las cargas de trabajo críticas es importante para evitar el movimiento lateral. En tercer lugar, deben invertir en una infraestructura que priorice la recuperación. Esta tarea incluye contar con copias de seguridad inmutables con capacidad de restauración rápida. También supone la incorporación de infraestructura como código para reimplementar entornos rápidamente. Por último, son esenciales los servicios sin servidor o basados en contenedores para la conmutación por error modular, así como la gobernanza del acceso privilegiado con auditoría en tiempo real y detección de desviaciones.
El elemento final, pero crucial, de esta estrategia es probar continuamente la resiliencia en condiciones reales, concluye Rosh. "Si no se prueba, no funcionará cuando sea necesario. Los ejercicios de simulación, los simulacros de equipo rojo y los simulacros de recuperación deben ser una práctica estándar".
El programa de seguridad moderno actual no se define por la cantidad de ataques que bloquea, sino por la confianza con la que se recupera al ser atacado. La resiliencia es ahora el control más importante.